Los desarrolladores de spyware mercenario parecen haber sido inusualmente activos en su armamento de vulnerabilidades y exposiciones comunes (CVE) durante julio de 2022, según una investigación publicada esta semana por Recorded Future, aunque eso se debe o no a que otros actores de amenazas estén menos ocupados. durante los meses de verano está por verse.
Este es el tercer boletín mensual de vulnerabilidades producido por el equipo de investigación de amenazas de Insikt Group de Recorded Future: el primero se publicó en junio para coincidir con la introducción del servicio de parches automatizados de Microsoft para empresas, que ha eliminado el aguijón del martes de parches para muchos.
En el futuro, Recorded Future planea publicar su CVE mensual informe el primer martes de cada mes: el martes de parches continúa cayendo el segundo martes.
En su último informe, el equipo de investigación dijo que había observado la explotación de vulnerabilidades de día cero recientemente reveladas que afectaban tanto a Microsoft como a Google, en ambos casos para distribuir software espía, lo que, según dijo, demostraba un vínculo a menudo estrecho entre el software espía de primera línea desarrolladores y nuevos días cero.
“El 4 de julio de 2022, Google reveló una vulnerabilidad de día cero explotada activamente, CVE-2022-2294, que afecta a Google Chrome”, dijo el equipo. “Si bien la compañía no reveló detalles sobre los ataques relacionados con esta falla, no pasó mucho tiempo antes de que otros informaran sobre la explotación.
“Los investigadores de amenazas de Avast (que originalmente habían informado a Google sobre la vulnerabilidad) publicaron un informe el 21 de julio de 2022 sobre una campaña en la que el proveedor israelí de software espía Candiru explotó CVE-2022-2294 para implementar el software espía DevilsTongue.
“El software espía era [also] asociado con otra vulnerabilidad de día cero, esta vez para Microsoft. El 12 de julio de 2022, Microsoft reveló una vulnerabilidad de día cero, CVE-2022-22047, que afecta a las versiones actuales de Windows y Windows Server. Esta vulnerabilidad fue aprovechada por el grupo de amenazas mercenario con sede en Austria Knotweed para distribuir su software espía Subzero.
“Una segunda vulnerabilidad, CVE-2022-30216, también afecta a las versiones actuales de Windows y Windows Server y tiene un puntaje CVSS muy alto debido a que permite la ejecución remota de código, pero aún no hemos visto intentos de explotación”, dijeron los investigadores.
Entre las otras vulnerabilidades más impactantes en julio de 2022 se encontraba una vulnerabilidad de ejecución remota de código (RCE) en Apache Spark, rastreada como CVE-2022-33891, descubierta por el investigador de Databricks Kostya Kortchinsky, cuya explotación se observó en la naturaleza dentro de las 48 horas posteriores a la divulgación. y una vulnerabilidad de inyección SQL en el marco web Django Python, rastreada como CVE-2022-34265.
Julio también vio altos niveles continuos de explotación de CVE-2022-30190, o Follina, una peligrosa vulnerabilidad de cero clic en Microsoft Office que, si no se controla, permite que un actor de amenazas ejecute comandos de PowerShell sin interacción del usuario. Follina se reveló a fines de mayo y se corrigió en la actualización del martes de parches de junio, pero, naturalmente, muchos no la corrigieron.
“Si hubiéramos podido predecir alguna vulnerabilidad para ver una explotación de alto perfil después de la divulgación inicial, habría sido Follina”, dijo el equipo de Recorded Future.
“Efectivamente, el 6 de julio de 2022, los investigadores de Fortinet publicaron un informe analítico sobre una campaña de phishing que utilizó Follina para distribuir la puerta trasera Rozena, un malware que permite a los atacantes controlar completamente los sistemas Windows. Los investigadores de Fortinet observaron a los adversarios que usaban Rozena para inyectar una conexión de shell remota a la máquina del atacante”.
